【编者按】2月28日，美国政府签署了一项关于监管跨境数据传输行为的最新行政命令，该命令及后续发布的几份相关文件的主要监管目的，是禁止或限制美国主体与受关注国家或受管辖主体之间涉及大规模敏感个人数据或政府相关数据的受管辖数据交易。

《互联网法律评论》邀请特约专家、环球律师事务所合伙人孟洁律师和团队成员赵姝、杜畅就上述美国最新跨境数据传输监管政策的风险因素进行分析，并对中国企业如何应对给出专业建议。孟洁律师指出，对于依赖数据跨境传输开展业务的我国出海企业而言，上述新规给企业带来重新评估和调整业务潜在需求的严峻挑战。企业可以根据本文给出的7个角度进行合规应对。

孟洁律师团队针对《关于阻止受关注国家获取美国人的大规模敏感个人数据及合众国政府相关数据的行政命令》的解读分上下两篇，《美国数据监管新规观察（上）丨数据跨境传输行政命令的背景与规则》已经在3月8日发表，今日发表下篇。

前言

当地时间2024年2月28日，美国总统小约瑟夫·罗宾内特·拜登签署并发布了第14117号《关于阻止受关注国家获取美国人的大规模敏感个人数据及合众国政府相关数据的行政命令（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）》（以下称“《行政命令》”）。1

随后，白宫与美国司法部（Department of Justice）陆续发布了《关于受关注国家获取美国人的大规模敏感个人数据和政府相关数据的规定的拟议规则制定预通知（Advance Notice of Proposed Rulemaking: Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern）》2（以下称“《预通知》”）等一系列文件。

这些以《行政命令》为核心的文件矛头直指所谓“受关注国家（Countries of Concern）”政府（包括中国、俄罗斯、朝鲜、古巴与委内瑞拉）以及与其存在关联的实体与个人。此次《行政命令》一定程度上表达出美国联邦政府修改其此前主张的数据跨境自由流动政策与价值取向，这可能对“受关注国家”以及企业带来实质性影响。

在此前发布的美国数据监管新规观察（上）丨数据跨境传输行政命令的背景与规则中，我们已结合目前已公开发布的各相关文件，以美国数据跨境流动政策的不变与变化为视角，分析美国在数据跨境政策上的整体方向；在此次发布的下篇中，我们将进一步结合《行政命令》的合规计划与法律责任，基于企业关注的热点场景，为我国企业在相关政策落地前进行风险预判，特别为我国出海企业提供应对参考。

《行政命令》下的合规计划：基于OFAC合规计划的分析

《行政命令》向美国司法部长授予了《国际紧急经济权力法（International Emergency Economic Powers Act, IEEPA）》下美国总统的全部授权，并根据IEEPA授权条款中的要求，明确且具体地提及了美国司法部的后续规则制定应涉及记录保存与交易报告的需求，为调查、执法和监管工作提供信息。基于这一宽泛的授权，美国司法部目前在《预通知》中表示其考虑针对参与到受监管数据交易中的美国主体（U.S. person）施加创设并落实一项合规与执行计划（compliance and enforcement program, CEP），并从四个方面初步阐述了CEP：①尽职调查与记录保存（due diligence and recordkeeping）；②报告（reporting）；③审计（audits）；④调查与执行（investigation and enforcement）。我们将《预通知》中对于CEP的阐述总结如下表：

事项

内容

尽职调查与记录保存

要求受到CEP约束的美国主体通过制定、实施和定期更新合规计划的方式落实基于风险的合规方法。适合特定美国主体的合规计划将可能基于下列因素产生变化——主体的规模和复杂性、产品和服务、客户和交易相对方，以及地理位置。不对所有参与同外国主体的受管辖数据交易（covered data transactions）的美国主体规定一般的尽职调查要求或主动的记录保存要求。如果相关美国主体未能制定适当的尽职调查计划，在发生违反规定的行为时该等缺失可能被作为加重因素进行考虑。强制实施的主动尽职调查和记录保存要求仅作为参与限制性的受管辖数据交易的条件，或作为通用或特定许可证的条件。上述主动的尽职调查和记录保存要求包括“了解你的供应商”和“了解你的客户”的要求。要求受尽职调查要求约束的美国主体保存尽职调查记录，以协助司法部的调查与执行。

报告

CEP不会为所有与外国主体进行数据交易的美国主体规定一般的报告要求，即便该外国主体为受管辖主体（covered persons）。仅作为某些类别的美国主体从事限制性的受管辖数据交易的条件，或作为通用或特定许可证的条件，或在少数情况下作为识别进行禁止的受管辖数据交易的企图的方式。报告要求的目的是帮助司法部识别对持续合规和执行工作具有最高优先级的受管辖数据交易。获取许可的主体应提供有文件支持的年度认证，以证明该主体遵守了被授予的许可的条款。需要主动履行报告义务的美国主体的类别包括：

1) 该美国主体①参与涉及云计算服务的限制性受管辖数据交易，或涉及数据经纪或云计算服务的、经许可授权的受管辖数据交易，且②其25%或以上的股权通过任何合同（contract）、安排（arrangement）、谅解（understanding）、关系（relationship）或其他方式，直接或间接地由受关注国家或受管辖主体所持有；或

2) 该美国主体收到并明确拒绝另一主体提出的要约，该要约有关于参与涉及数据经纪的、禁止的受管辖数据交易。

审计

为了协助确保遵守限制性覆盖数据交易的安全要求以及根据规则颁发的许可证，美国主体在进行受限交易（无论是否基于许可进行）或基于许可进行的禁止交易时可能被要求遵守某些条件。前述条件可能包括：①指定一个经认可的审计师每年评估安全要求或许可条件的符合性与有效性，以及②将上述审计结果提交给司法部。审计将需要关注：①美国主体的受管辖数据交易的性质，以及②该交易是否符合适用的安全要求、司法部长颁发的任何许可的条款、司法部规定的任何其他方面。

调查与执行

为了协助调查潜在不合规情形，任何美国主体均可能被要求保留交易的完整记录，并以报告或其他形式提供与任何禁止或受限的受管辖数据交易相关的完整信息。《行政命令》与司法部颁布的规定不会为美国政府创造任何新的数据访问权利，以获取美国人的敏感个人数据或政府相关数据，也不会赋予美国政府新的权利来监控美国人的通信。

表1 合规与执行计划

需要注意的是，《预通知》中对上述四个方面的阐述并未包含CEP在最终落实阶段的具体结构与要素，因此CEP的具体执行机制仍待后续司法部规定的完善及进一步公示。由于《预通知》中说明了CEP的构建将参考外国资产控制办公室（Office of Foreign Assets Control, OFAC）的制裁合规计划（sanctions compliance program, SCP），因此我们根据OFAC发布的《OFAC合规义务承诺框架（A Framework for OFAC Compliance Commitments）》3将SCP的五个基本部分的相关要求总结如下表，供企业在提前考虑落实CEP时进行参考：

必要

部分

具体要求

管理层承诺

高级管理人员审阅并批准合规计划。高级管理人员确保合规部门的权限和自主，合规计划负责人与高级管理人员之间存在直接汇报关系，包括例行和定期会议。高级管理人员确保合规部门获得充足的资源，包括人力资源、专业知识、信息技术和其他适当资源，且这些资源与企业的业务范围、目标客户和二级市场以及影响其整体风险状况的其他因素相适应。具体包括：

1) 任命一名专职合规人员；

2) 确保企业的合规计划负责人了解并具备与监管规定相关的专业知识，并且拥有将监管要求应用落地的能力。

高级管理人员在企业内部推广“合规文化”。具体包括：

1) 允许员工向高级管理人员报告违规行为而不必担心报复；

2) 高级管理人员阻止不当行为与禁止行为，并强调违反监管要求可能受到的影响；

3) 为了遵守监管规定，合规计划有能力监督整个企业的行动，包括但不限于高级管理层。

高级管理人员认识到明显违反法律法规及未能遵守合规计划的严重性，并采取必要措施以减少未来发生此类情形；此类措施应解决已发生的违规行为的根本原因，并尽可能采用系统性的解决方案。

风险评估

风险评估工作一般应包括对企业的全面审查，并评估其与外部环境的接触，以确定企业可能直接或间接与禁止的人员、当事人、国家或地区接触的潜在领域。合规计划负责人可以对以下方面进行评估：

1) 客户、供应链、中间商和交易相对方；

2) 企业提供的产品和服务，包括这些产品和服务如何以及在何处匹配其他金融或商业产品、服务、网络或系统；

3) 企业及其客户、供应链、中间商和交易相对方的地理位置。

企业进行风险评估的方式和频率应充分考虑潜在风险——此类风险可能由其客户、顾客、产品、服务、供应链、中介、相对方、交易和地理位置造成，具体取决于该企业的性质。企业应制定一套用于识别、分析和应对所发现特定风险的方法。风险评估应酌情更新，以说明企业在日常业务过程中发现的任何明显违规行为或系统性缺陷的根本原因。

内部控制

有效的合规计划应包括内部控制（及相关政策与程序），以识别、拦截或报告被禁止的行为，并保存相关记录。具体而言：

企业应制定并实施书面政策和程序，该等政策和程序与企业相关，反映了企业的日常运作和程序，易于遵循，且旨在防止员工从事不当行为。企业应实施内部控制措施，以充分应对并处置其风险评估结果，并使该企业能够有效地识别、拦截、上报可能被禁止的交易和活动，并向企业内适当人员报告。在信息技术解决方案纳入企业内部控制的范围内，企业应选择并校准适合企业风险状况和合规需求的解决方案，并对解决方案进行例行测试，以确保其有效性。企业应通过内部和/或外部审计审查其为遵守监管部门的内部控制要求而实施的政策和程序。企业应确保其记录保存政策和程序充分考虑并符合监管部门的相关要求。企业应确保在获悉其相关内部控制存在薄弱环节时，立即采取有效措施，确定并实施补偿性控制措施，直至能够确定并纠正导致薄弱环节的根本原因。企业应向所有相关人员明确传达合规计划相关的政策和程序，包括 执行计划的内部人员、相关审核人员、在高风险地区运营的业务部门，以及代表企业履行合规计划职责的第三方。企业应指定专人负责将合规计划相关的政策和程序匹配企业的日常运营，应与相关业务部门协商，并应确认企业员工理解。

测试和审计

企业应进行审计以评估当前合规计划的有效性，并且确定合规计划的薄弱环节和缺陷，以协助改进其合规计划以弥补合规方面的漏洞。

改进可以包含更新合规计划的内容以应对变化中的风险评估或监管环境。审计可以对合规计划的特定内容进行测试和审计，也可以在整个企业范围内实施测试和审计。

具体而言：

企业应确保测试或审计人员直接对高级管理人员负责，独立于被审计的活动和部门，并在企业内拥有足够的授权、技能、专业知识的资源。企业应确保其采用的测试或审计程序与其合规计划的级别和复杂程度相适应，并确保相关人员（无论是内部审计还是外部审计）对企业的风险评估和内部控制进行全面、客观的评价。企业应确保在获悉与合规计划有关的、经确认的负面测试结果或审计发现时，将立即采取有效措施，确定并实施补偿控制措施，直至能够确定并纠正导致薄弱环节的根本原因。

培训

应根据企业风险状况制定培训方案，并确保方案中涵盖适当人员（尤其应针对高风险员工开展）。每年应当至少举办一次相关合规培训，并达成以下目标：

根据需求提供与工作相关的知识；传达每个员工的合规责任；并且通过评估使员工对制裁合规培训负责。

具体而言：

企业应确保其培训计划向员工及利益相关者（如客户、供应商、业务伙伴和交易相对方）提供充分的信息和指导，以支持企业合规工作。企业应提供与合规要求相关的培训，培训范围应与其提供的产品和服务、用户、客户和合作伙伴关系以及运营所在的地理区域相适应。企业应根据其相关风险评估和风险状况，以适当的频率提供与监管要求相关的培训。企业应在获悉经确认的负面测试结果或审计发现，或与其合规计划有关的其他缺陷时，确保立即采取有效措施，为相关人员提供培训或采取其他纠正措施。企业的培训计划应包括便于所有相关人员使用的资源和材料。

表2 OFAC制裁合规计划框架

《行政命令》下的法律责任：基于OFAC及CFIUS罚款制度的对比

除合规计划外，美国司法部还在考虑针对美国主体建立一套民事处罚程序，包括处罚前通知、答复机会与最终决定机制。是否进行罚款罚金数额可能受到以下要素的影响：①违反规定，②进行重大虚假陈述或遗漏，③提供虚假的证明或文件呈交，或④其他行为或因素。

由于司法部在《预通知》中明确前述处罚程序将与OFAC及美国外国投资委员会（Committee on Foreign Investment in the United States, CFIUS）的处罚程序相似，我们将OFAC与CFIUS的相关机制对比总结如下表，供企业提前评估风险参考：

序号

OFAC处罚程序

（31 CFR Appendix A to Part 501）

CFIUS处罚程序

（31 CFR § 800.901）

1

处罚前通知（Pre-Penalty Notice）

如果OFAC有理由认为发生了违反制裁的行为，并认为民事处罚是适当的，它将根据规定的程序发出处罚前通知。处罚前通知中列出的拟议处罚金额将反映OFAC处根据其当时掌握的信息对适当处罚金额的初步评估；随着OFAC了解到更多相关信息，最终处罚金额可能会发生变化。如果在发布处罚前通知后，OFAC认定处罚金额比处罚前通知中的建议处罚金额增加10%以上是适当的，或者OFAC希望指控更多违规行为，它将发布修订版处罚前通知，列出新的建议处罚金额和/或指控的违规行为。

处罚通知（Notice of the Penalty）

CFIUS会向处罚对象发送处罚通知，包括对处罚行为和罚款金额的书面解释。处罚通知将说明认定该行为构成违规的法律依据，并可能列出委员会考虑的任何加重和减轻处罚的因素。

2

处罚前通知答复（Response to Pre-Penalty Notice）

受处罚人可根据规定的程序，提交对处罚前通知的书面答复。一般情况下，回复要么选择同意《处罚前通知》中提出的处罚建议，要么说明不应处罚的原因（或应当处罚，则说明处罚金额应低于建议金额的原因）。答复应包括受处罚人所掌握的支持答复中所述论点的所有文件或其他证据，OFAC将考虑提交的所有相关材料。

复议申请（Petition for Reconsideration）

处罚对象可在收到处罚通知后15个工作日内，向CFIUS主席提交复议申请，包括任何辩护、理由、减轻因素或解释。如有正当理由，经主席和处罚对象书面同意，可延长前述期限。

3

处罚通知（Penalty Notice）

如果OFAC在处罚前通知规定的时间内未收到对处罚前通知的答复，或者在收到对处罚前通知的答复并审查其中所载信息和证据后，OFAC得出结论认为应处以民事罚款，则一般将根据规定的程序发出处罚通知。处罚通知构成OFAC对违规行为发生的最终裁定。处罚通知中规定的处罚金额将考虑到受处罚人在回复处罚前通知时提供的相关补充信息。如果没有对处罚前通知做出回应，处罚通知中规定的处罚金额通常与处罚前通知中规定的建议处罚金额相同。

最终处罚决定（Final Penalty Determination）

如果及时收到复议申请，CFIUS将在收到申请后15个工作日内进行审议，然后发布最终处罚决定，主席和处罚对象可通过书面协议延长该期限。如果没有及时收到复议申请，CFIUS通常会以通知的形式向当事人发出最终处罚决定。

表3 民事处罚程序对比

《行政命令》下的合规风险：我国出海企业的合规风险与应对

虽然《行政命令》及相关文件确立的规则直接适用的主体对象仅包括美国主体，但如果作为受监管主体的企业所经营的业务涉及受监管数据交易，则相关业务行为受监管审查乃至被要求停止开展，那么与受监管数据交易中与我国企业有关的风险场景，结合《非正式预通知》中提供的规则与交易示例进行适用性分析，仍可能给我国企业带来较为严重的利益损失。

1. 海外App运营的风险分析

目前存在出海业务的企业最为关注的风险之一是在《行政命令》逐步落实的背景下，具有中资背景的App在美国境内开展运营活动并收集、存储、使用美国用户的个人数据，是否可能触发《行政命令》体系下的禁止/限制规则？

基于禁止/限制规则的基本结构，对于这一潜在风险项的分析可以基于如下思路进行：

(1) 是否涉及受监管数据？

不同类别App的运营可能涉及的数据类别也不尽相同；但需要注意《行政命令》与《非正式预通知》对于“受监管的个人识别数据”的定义十分宽泛。

虽然《行政命令》与《非正式预通知》要求复数字段与同一个人相关联以构成受监管数据，由于《非正式预通知》中列明的个人识别数据包含了各类常见设备信息、广告标识符、账户信息、网络协议等App运营中难免会收集、存储的数据，因此可以较为容易地通过“相互结合的、列明的个人识别数据”这一细分路径也将构成敏感个人数据。

在大规模敏感个人数据的门槛方面，由于目前对于受监管个人识别数据类别的门槛设置尚未确定，且可能的范围较为宽泛（介于1万人至100万人之间），企业需要着重关注后续规则制定的进展以判断相关业务是否触发该门槛。

(2) 是否涉及受监管交易？

对于这一问题的答案在很大程度上取决于App运营方的身份、中国母公司的身份，以及作为投资方/控制方的中国母公司是否可能访问到运营方的数据。

在App运营方的身份方面，无论运营方在美国境内注册设立、设有分支机构，还是单纯通过远程方式运营App，均可能会构成《行政命令》与《非正式预通知》下的“美国主体”，进而适用相关监管规则与合规要求。

在中国母公司的身份方面，由于运营方背后的母公司/集团的中资背景，无论如何安排其股权与控制权结构，都不太可能完全避开作为“受监管主体”判断的兜底情形，即被美国司法部长指认为由某受关注国家拥有或控制，或受其管辖或指示。

在母公司的访问控制方面，如果运营方与母公司之间存在涉及受监管数据的数据交互，则在该等交互的数据方面具有较高可能性符合《非正式预通知》中对于数据经纪活动的定义，并且也符合场景示例中“签署协议并授权访问”的基本事实。因此，如果希望避免落入监管规则的适用范围，相关企业需要在App运营企业与境外母公司之间制定并落实数据隔离与访问控制的策略，避免被认定构成受监管数据交易。

(3) 是否涉及豁免交易？

在豁免交易方面，由于App用户个人数据的范围较广，相关从业企业能够潜在依赖的豁免事项仅有“作为业务运营一部分实体内部交易”中的“美国主体及其位于受关注国家（或从属于该受关注国家的所有权、指示、管辖或控制）子公司或分公司之间的交易”这一种类别；而该类豁免事项的适用要求企业调整组织架构，将美国主体作为主要运营实体，令境外实体成为美国主体的子公司或分公司——对于多数公司而言，该等调整在业务与管理层面的可行性不高。

2. 海外实体招聘的风险分析

另一类受到较多关注的场景是中资背景的美国主体在员工招聘方面，基于管理、运维、业务等各方面的考量，实践中经常需要聘用中国境内的技术团队及人员，或聘用中方母公司的管理层人员。

(1) 聘用中国技术团队进行运维

假设一家中资背景且经营消费端业务的美国公司收集并维护来自美国消费者的大规模人类基因组数据、个人健康数据等敏感个人数据，该美国公司在信息技术运维方面归入中方母公司的全球运维规划内，并按照母公司的供应商采购策略雇用了一个主要由中国公民组成的团队提供后端服务——如果该后端运维团队可以访问包含大规模敏感个人数据的系统，则该等劳动协议或聘用安排本身构成受监管数据交易。

(2) 聘用中国公民进行开发/项目管理

假设一家中资背景的美国公司通过从社交媒体平台抓取已公开照片的方式收集美国网民的大规模敏感个人数据（包含包括面部数据扫描），并将这些照片输入其自研的数据库用于训练人脸识别算法；基于项目推进效率的考量，该美国公司计划雇佣一位在中国母公司拥有丰富项目管理经验的员工（中国公民）担任数据库项目经理——如果该员工作为项目经理的工作内容将涉及到访问大规模生物特征识别数据，则该等劳动协议或聘用安排本身构成受监管数据交易。

假设一家中资背景的美国金融服务公司正在开发基于生成式人工智能的个人助理应用，并计划将其作为该公司的独立产品销售给客户；基于中国母公司的商密保护需求，该美国公司需要雇佣一名原本任职于母公司的数据科学家（中国公民）领导产品研发——如果作为受雇工作内容的一部分，该数据科学家所拥有的权限允许其访问、下载和传输大规模的个人金融数据，且这些数据不是通常属于公司向其客户提供的金融服务的一部分，则该等劳动协议或聘用安排本身构成受监管数据交易。

(3) 聘用母公司高管进行组织管理

假设一家中资背景的美国公司开发即时通讯类App并通过美国软件应用程序数字发行平台在美国发行，该App收集美国用户的大规模敏感个人数据；基于中国母公司实际控制要求，该美国公司需要雇用一名原本任职于母公司的高管（非中国公民，但由于其与母公司的历史沿革被美国司法部长指定为受监管主体）担任首席执行官——如果该高管作为首席执行官的权力和职责涉及访问应用程序收集的所有数据，则该等劳动协议或聘用安排本身构成受监管数据交易。

3. 海外项目投资的风险分析

除了上述出海布局业务外，中国企业在美国开展的投资活动也可能受制于《行政命令》及相关政策规则而受到不利影响。具体而言：

假设一家美国公司计划在美国境内建造一个数据中心，该数据中心将存储美国人的大规模个人健康数据，一家中资背景的私募基金同意为数据中心的建设提供资金，以换取该数据中心的多数权益——此时该等投资协议或安排本身可能被认定为构成受监管数据交易。

假设一家中国科技公司与一家开发即时通讯App的美国公司签订了股权转让协议或者增资协议，中国公司根据该协议获得了美国公司的少数股权，而该美国公司的App系统性地收集其美国用户的大规模敏感个人数据——此时，无论投资协议是否明确授予该外国科技公司访问该等数据的能力，即便协议中明确禁止该等访问，该等投资协议或安排本身仍可能被认定为构成受监管数据交易。

我们理解，监管机构可能不会只根据书面文件来判断受关注国家的投资人是否有权利访问或接触美国大规模敏感个人数据或美国政府相关数据的权利，而是更加看重受关注国家是否有可能通过该交易访问或接触到美国大规模敏感个人数据或美国政府相关数，因此，对投资人基于协议的数据访问权限的限制并不会被认为降低了风险。而与之相反的是，如果上述接受投资的美国公司客观上不具备访问美国大规模敏感个人数据或美国政府相关数据的能力，则中国企业对于该等美国公司的投资一般不会触发针对包含投资协议的受监管数据交易的禁止/控制。

4. 为海外提供云服务的风险分析

中国云服务企业在近年来也凭借高性价比的优势逐渐打开国际市场。随着《行政命令》及相关政策规则的落地实施，中国云服务企业作为供应商提供的IaaS/PaaS/SaaS类云服务也可以预见会受到一定程度的冲击。

假设一家美国公司通过App从美国用户处收集大规模精确地理位置数据，并与总部位于中国的云服务公司签署协议以处理并存储该等数据——此时该等供应商协议或安排本身将构成受监管数据交易。

假设一家美国医疗机构与一家总部位于中国的云服务公司签署协议以获取信息技术相关的服务，该医疗机构掌握有预期美国病人相关的大规模个人健康数据，且该协议中涉及访问保存有该等大规模个人健康数据的信息系统——此时该等供应商协议或安排本身仍然构成受监管数据交易。

假设一家美国公司由总部位于中国的公司控股并且指定了受监管主体（中国公民）作为管理人员，该公司在美国境内建立数据中心运营数据托管服务，并作为供应商向其他美国公司提供服务以存储美国公司收集的美国大规模敏感个人数据——此时该等供应商协议或安排本身仍构成受监管数据交易。

5. 现阶段相关企业的合规应对

基于上述潜在风险，建议我国出海企业：

1) 从管理层面禁止中国实体对美国实体持有的敏感个人数据的访问；

2) 确保美国实体针对受监管数据单独落实严格的数据隔离存储策略；

3) 在中国实体与美国实体之间采取数据隔离与访问控制措施，将潜在的数据交互行为限制在最小必要的范围内；

4) 在内部程序与制度中明确《行政命令》及《预通知》的合规要求；

5) 尽可能避免中国实体与美国实体之间任何层面的人员穿插混同；

6) 在开展针对美国公司的投资前谨慎评估标的公司涉及的数据类型与数据量；

7) 在为美国公司提供云服务前谨慎评估客户项目涉及的数据类型与数据量，并在服务器中针对客户数据落实数据隔离与访问控制措施。

《行政命令》和《预通知》标志着一个重要规则制定过程的开始。该命令指示司法部在 180天内发布拟议规则制定通知（Notice of Proposed Rulemaking, NPRM），随后发布最终规则。通过《预通知》，司法部就其考虑纳入拟议规则的许多关键定义征求了公众意见，这为受监管行业提供了一个与政府合作、制定拟议规则和最终规则的机会。

现阶段，除了为之后的合规措施做出预案外，我们还建议所涉行业的相关企业如果初步判断该行政命令相关的限制可能对自身影响较大，则可以根据自身的情况考虑单独或者联合向司法部提出建议和意见，或通过恰当的渠道表达自身的诉求，最大程度争取利益。

结语

《行政命令》标志着美国总统又一次动用IEEPA下的紧急权力，并在实际上建立了一个重要的新监管制度。在此，司法部负责在建立和管理这一监管制度方面发挥重要的新作用。虽然现在的重点是监管程序，但司法部最终将需要建立审查许可证和处理民事执法案件的基础措施，这些措施在很大程度上更类似于OFAC在管理制裁制度方面所做的工作。《行政命令》在国家安全的考虑下不可避免地偏离了跨境数据自由流动的政策方向；而对于依赖数据跨境传输开展业务的我国出海企业而言，重新评估和调整业务的潜在需求带来了严峻的挑战。因此，企业如何在加强内部管理、提升数据处理的安全性和透明度的同时，在成本可控的前提下确保出海业务的可持续发展，是长远视角下的重要话题。

但即便面对并不乐观的国际形势，数据跨境流动的自由和安全仍不失为所有国家共同关注的议题；而我国企业在困难环境重所积累的经验和智慧，也势必为全球数据治理体系的完善贡献中国智慧和中国方案。

脚注：

1.https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/ (last visited March 12, 2024).

2.https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and (last visited March 6, 2024).

3.https://ofac.treasury.gov/media/16331/download?inline (last visited March 12, 2024).

作者：

孟洁 《互联网法律评论》特约专家、北京市环球律师事务所合伙人

赵姝 北京市环球律师事务所

杜畅 北京市环球律师事务所

【免责声明】此文仅代表作者个人观点，与本平台无关。本平台对文中陈述、观点判断保持中立，不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。